GDPR: Är det relevant för min verksamhet?

Vad är GDPR?

GDPR är EU:s dataskyddslag, och syftar bland annat till att skydda människors personuppgifter. GDPR innehåller ett antal regler som alla organisationer som behandlar personuppgifter från sina kunder och anställda måste följa. Detta gäller oavsett om verksamheten är en offentlig myndighet, ett privat företag, en förening eller någon annan typ av verksamhet.

Att din verksamhet ska följa GDPR innebär bland annat att ni måste följa de grundläggande principerna och säkerställa att behandlingen har en rättslig grund.

Innan du startar din verksamhet kan det vara bra att läsa på och ha koll på reglerna som påverkar ditt företagande. Exempelvis huruvida ditt företag påverkas av GDPR eller inte.

Hur påverkar GDPR ditt företag?

GDPR ger individer större rättigheter eftersom lagen kräver att företag och organisationer följer reglerna som har fastställts.

I korthet omfattar GDPR alla företag och organisationer som är etablerade inom EU, oavsett om de hanterar data inom eller utanför EU:s gränser. Även organisationer utanför EU kommer att påverkas om de erbjuder sina produkter eller tjänster till EU-medborgare. 

Om ditt företag säljer varor eller erbjuder tjänster till någon i EU är GDPR därmed en lag som ni måste rätta er efter.

För att säkerställa att din verksamhet följer dataskyddsreglerna, bör du utse en dataskyddsansvarig. En dataskyddsansvarig ser till att allting hanteras enligt GDPR:s regler – vikten av detta berör vi under nästa rubrik!

Många tror att GDPR bara handlar om IT, men det sträcker sig faktiskt så mycket längre än så. Lagen har djupgående effekter på hela organisationen, inklusive hur de genomför sina marknadsförings- och försäljningsaktiviteter. 

Funderar du på att skicka reklam eller nyhetsbrev via mejl?

Att skicka ut mejl med reklam eller månatliga nyhetsbrev är en strategi många företag använder sig av för att locka nya kunder. Mejl kan även vara en effektiv metod för att marknadsföra en ny verksamhet.

Innan du skickar iväg mejl måste du dock få kundens samtycke. Du får alltså inte skicka ut mejl med reklam till en kund vars mejladress du fått för att exempelvis skicka ut en faktura.

Om du får kundens samtycke och vill skicka ut reklam, måste du se till att informationen i mejlet också följer reglerna inom GDPR. Det innebär exempelvis att kunden på ett enkelt sätt måste kunna se vem som är avsändare, samt att det tydligt och enkelt ska framgå hur man avregistrerar sig från utskicken. 

Hur vet jag om jag hanterar personuppgifter?

Det kan vara svårt att veta vad hantering av personuppgifter egentligen innebär. Behandling av personuppgifter innebär i stort sett all insamling, lagring och bearbetning av personuppgifter. Exempel på personuppgifter är:

• Ditt namn
• Din adress
• Din e-postadress
• Ditt personnummer
• Ditt id-kortnummer
• Ditt telefonnummer
• Din IP-adress när du surfar på nätet
• Ett foto av dig.

Exempel på när verksamheter hanterar personuppgifter:

• I lönesystem
• När de för kundregister

Förberedelser för att följa GDPR

För att uppfylla kraven i GDPR bör företag vidta några grundläggande åtgärder för att skydda personuppgifter på ett smart sätt. För dig som vill starta eller nyligen har startat eget är det viktigt att se till att bygga ett starkt dataskydd från grunden!

Ta reda på vad ni har för data

Först och främst bör ni leta reda på alla ställen vid vilka ni registrerar personuppgifter. Notera sedan vad ni gör med denna information. Fundera på vem som har tillgång till informationen och om det finns några eventuella risker vid en eventuell dataläcka. Man kan säga att du gör en karta över all den information som ditt företag lagrar om kunder och klienter samt anställda.

Bestäm vilken data ni verkligen behöver

Spara inte mer information än vad ni faktiskt är i behov av. Om ni har samlat på er en massa data som inte fyller något viktigt syfte bör ni rensa upp bland dem.

Här är några frågor som ni kan ställa er själva:

• Varför lagrar vi datan snarare än att radera den?
• Varför insamlar vi all denna information?
• Varför är det viktigt för oss att hantera så mycket personlig information?
• Är det bättre att radera datan än att skydda dem från eventuella läckor?
• Ska personuppgifterna överföras till internationella organisationer eller land utanför EU?

Skydda datan

Säkerhet först – dags att skydda datan! 

I detta skede måste ni bestämma hur ni ska skydda era data från obehörig åtkomst. Det handlar om att skapa regler och planer för den händelse att någon försöker bryta sig in i era databaser. Planen som ni kommer fram till måste även uppdateras efter behov.

Ni måste även kontrollera att de företag ni samarbetar med gör rätt saker för att värna om de uppgifter som ni lämnar. Att samarbeta med andra betyder inte att ni befriats från allt ansvar. Dubbelkolla att de verksamheter ni samarbetar med också har bra säkerhetsrutiner för behandling av personuppgifter!

Kolla igenom era papper

Härnäst bör ni gå igenom alla era regler och dokument för att se till att de är uppdaterade. Ni kan behöva skapa nya dokument för att informera era kunder om deras rättigheter. Samarbetar ni med andra företag kan ni också behöva ingå nya avtal.

Utarbeta en plan

Med GDPR har privatpersoner fått fler rättigheter, vilket innebär att ni som företag får ett större ansvar för att inte hamna i trubbel. Därför är det viktigt att bestämma hur ni ska hantera olika situationer. Här är några exempel:

• Vad gör ni om någon vill att ni ska ta bort deras data?
• Hur ser ni till att all data verkligen tas bort överallt?
• Om någon vill flytta sin information, hur gör ni det?
• Hur bekräftar ni att personen som vill flytta datan är den som de säger att de är?
• Vad gör ni om någon hackar er data?

Olika sätt att skydda information

Det finns många olika sätt att skydda informationen på. I företaget behöver ni fundera på vilket sätt som är bäst för er. Vanliga sätt att skydda information är till exempel:

• Autentisering: används för att endast behörig personal ska ha åtkomst till informationen
• Kryptering: en sorts funktion som medför att enbart den med en krypteringsnyckel kan få åtkomst till informationen
• Fysisk säkerhet: tekniska och organisatoriska åtgärder som förhindrar obehöriga åtkomst till informationen. Det kan till exempel göras genom att begränsa vem som har tillträde till vissa rum och begränsa åtkomst för besökare i verksamheten.

Sammanfattningsvis är GDPR relevant för din verksamhet om ni behandlar personuppgifter inom EU. Lagstiftningen sträcker sig över alla delar av organisationen och det är därmed viktigt att ni har tydliga riktlinjer för hur ni hanterar er personuppgiftsbehandling och ser till att ni följer GDPR:s principer. 

Köp ett Lagerbolag från Jurio

Nu har du förhoppningsvis fått mer kött på benen gällande GDPR-reglerna och kan känna dig tryggare i att starta eget. Genom att köpa ett startklart aktiebolag, det vill säga ett lagerbolag, kan du komma igång med din verksamhet snabbare än om du skapar ett aktiebolag direkt hos Bolagsverket. Du fyller helt enkelt i vårt digitala formulär – det tar knappt 10 minuter – och sedan får du vägledning genom hela processen.